Hacker zielen mit neuer Golang-Malware auf Docker, Hadoop, Redis und Confluence ab!
Hacker greifen falsch konfigurierte Server an, auf denen Apache Hadoop YARN, Docker, Confluence oder Redis laufen, mit neuer Golang-basierter Malware, die die Erkennung und Kompromittierung der Hosts automatisiert.
Die in der Kampagne eingesetzten Schadtools machen sich die Konfigurationsschwächen zunutze und nutzen eine alte Schwachstelle in Atlassian Confluence aus, um Code auf dem Rechner auszuführen.
Forscher des Cloud-Forensik- und Incident-Response-Unternehmens Cado Security entdeckten die Kampagne und analysierten die in Angriffen verwendeten Nutzlasten, Bash-Skripte und Golang ELF-Binärdateien.
Die Forscher stellen fest, dass die Eindringlingsgruppe den zuvor gemeldeten Cloud-Angriffen ähnelt, von denen einige Bedrohungsakteuren wie TeamTNT , WatchDog und Kiss-a-Dog zugeschrieben werden .
Sie begannen mit der Untersuchung des Angriffs, nachdem sie eine erste Zugriffswarnung auf einen Docker-Engine-API-Honeypot erhalten hatten und ein neuer Container auf Basis von Alpine Linux auf dem Server erstellt wurde.
Für die nächsten Schritte verlässt sich der Bedrohungsakteur auf mehrere Shell-Skripte und gängige Linux-Angriffstechniken, um einen Kryptowährungs-Miner zu installieren, Persistenz herzustellen und eine Reverse-Shell einzurichten.
Neue Golang-Malware zur Zielerkennung:
Den Forschern zufolge setzen die Hacker eine Reihe von vier neuartigen Golang-Nutzlasten ein, die für die Identifizierung und Ausnutzung von Hosts verantwortlich sind, auf denen Dienste für Hadoop YARN ( h.sh ), Docker ( d.sh ), Confluence ( w.sh ) und Redis ausgeführt werden ( c.sh ).
Die Namen der Payloads sind wahrscheinlich ein schlechter Versuch, sie als Bash-Skripte zu tarnen. Es handelt sich jedoch um 64-Bit-Golang-ELF-Binärdateien.
„Interessanterweise hat der Malware-Entwickler es versäumt, die Binärdateien zu entfernen, sodass die DWARF-Debug-Informationen intakt blieben. Es wurden auch keine Anstrengungen unternommen, um Zeichenfolgen oder andere sensible Daten in den Binärdateien zu verschleiern, sodass sie leicht rückentwickelt werden können“ – sagte Cado Security.
Die Hacker verwenden die Golang-Tools, um ein Netzwerksegment nach offenen Ports 2375, 8088, 8090 oder 6379 zu durchsuchen, die die Standardports für die Ziele dieser Kampagne sind.
Im Fall von „w.sh“ wird nach dem Erkennen einer IP-Adresse für einen Confluence-Server ein Exploit für CVE-2022-26134 abgerufen , eine kritische Schwachstelle, die es entfernten Angreifern ermöglicht, Code auszuführen, ohne sich authentifizieren zu müssen.
Eine weitere entdeckte Golang-Payload heißt „fkoths“ und hat die Aufgabe, Spuren des Erstzugriffs zu beseitigen, indem Docker-Images aus den Ubuntu- oder Alpine-Repositorys gelöscht werden.
Cado Security stellte fest, dass der Angreifer ein größeres Shell-Skript namens „ar.sh“ verwendete, um seine Kompromittierung voranzutreiben, forensische Aktivitäten auf dem Host zu verhindern und zusätzliche Nutzlasten abzurufen, darunter die beliebte XMRig-Mining-Anwendung für die Kryptowährung Monero.
Das Skript fügt außerdem einen SSH-Schlüssel hinzu, der es dem Angreifer ermöglicht, Zugriff auf das infizierte System aufrechtzuerhalten, ruft die Golang-basierte Reverse-Shell Platypus ab und sucht nach SSH-Schlüsseln und zugehörigen IP-Adressen.
Platypus → https://github.com/WangYihang/Platypus
Während die meisten Payloads der Kampagne von Antiviren-Engines auf der Scan-Plattform Virus Total allgemein als bösartig gekennzeichnet werden, bleiben die vier Golang-Binärdateien zur Erkennung von Zieldiensten praktisch unentdeckt.
Zwei der Payloads, w.sh und c.sh , werden von weniger als 10 Antiviren-Engines auf der Plattform erkannt und das früheste Einreichungsdatum ist der 11. Dezember 2023, was auf den Beginn der Kampagne hinweisen könnte. Die anderen beiden bleiben unentdeckt auf dem Bahnsteig.
Cado Security veröffentlichte eine technische Analyse aller im Rahmen der Kampagne entdeckten Payloads sowie der damit verbundenen Kompromittierungsindikatoren.
